Samsung Galaxy S25 Ultra: nu met upgrade voordeel tot €633

‘LastPass-wachtwoorden lagen voor het grijpen door beveiligingslek’

Jeffrey van de Velde
Jeffrey van de Velde
18 september 2019, 21:10
2 min leestijd
‘LastPass-wachtwoorden lagen voor het grijpen door beveiligingslek’

Lees verder na de advertentie.

LastPass-plugin

Als je een wachtwoord manager in gebruik hebt, dan herken je het concept wel: je moet eerst een browser-plugin installeren om ‘alle’ functies te kunnen gebruiken. Via de plug-in vult de wachtwoordmanager je wachtwoord in. Door een beveiligingsmanager, is het een stuk makkelijker om verschillende wachtwoorden te gebruiken. Helaas zijn ook wachtwoordmanagers kwetsbaar, zo blijkt uit een rapport van Google Project Zero-onderzoeker Travis Ormandy. Volgens Ormandy, zit er een ernstig beveiligingslek in de browser-plugin – die inmiddels lijkt te zijn verholpen door LastPass.

Mocht de tweet niet goed laden, klik dan op deze link

Het lek heeft te maken met de manier waarop LastPass zijn wachtwoord ‘serveerde’ aan websites. In de praktijk was het voor malafide websites mogelijk om je wachtwoord ‘aan te vragen’. Daarvoor was enkel vereist dat de websites zich voordeden als de vorige website, waar de plugin een wachtwoord had ingevuld. Volgens de onderzoeker, zouden malafide websites verder gebruikmaken van de Google Translate-service, om de vreemde URL’s te verbergen. Inmiddels is het beveiligingslek opgelost, volgens LastPass zou iedereen de update naar LastPass-plugin 4.33.0 hebben ontvangen.

Chrome (OS) en Opera

Het bedrijf heeft in een verklaring aangegeven, dat enkel Chrome (OS) en Opera getroffen zijn door de kwetsbaarheid; dat geldt dus ook voor alle gebruikers van Chrome OS. Mocht je LastPass gebruiken, dan is het aan te raden om het versienummer van de plugin te controleren. Staat deze momenteel al op 4.33.0, dan is er geen reden om je zorgen te maken. Volgens LastPass hoeven gebruikers zich ook maar weinig zorgen te maken. Gebruikers moesten allereerst een malafide website bezoeken – en dan een meerdere keren klikken, voordat websites daadwerkelijk toegang kregen tot het LastPass-wachtwoord.

LastPass is zowel een gratis als een betaalde wachtwoordmanager

Ormandy heeft geen bewijzen voor misbruik van het lek. Het lek is daarnaast pas openbaar gemaakt, nadat LastPass met een update kwam. Bij het gebruik van een wachtwoordmanager, blijft het aan te raden om de website grondig te controleren. Wat vast blijft staan, is dat het leven met zo’n manager ‘altijd’ veiliger is dan het leven zonder een wachtwoordmanager, zelfs met zulke beveiligingslekken. In welke groep behoor jij: ben je een liefhebber, of een tegenstander van wachtwoordmanagers? Als je de eerste optie kiest, gebruik je ook een wachtwoordmanager? Laat het ons weten in de reacties onder dit artikel!

LastPass Password Manager

LastPass US LP

7.2
Gratis
Via Google Play

Op de hoogte blijven?

Volg Androidworld nu ook op WhatsApp

Download de nieuwe Androidworld-app!

Reacties

12

Inloggen of registreren
om een reactie achter te laten

19 september 2019, 22:15

Getverdemme wat een smerige clickbait titel.

Hebben jullie dat nodig joh? Gaat het zo slecht met de bezoekersaantallen?

19 september 2019, 15:28

Ik gebruik al tig jaren de offline wachtwoordmanager KeePass Safe.

19 september 2019, 14:20

Ik onthoud gewoon mijn paswoorden ?

19 september 2019, 13:42

Met hanz eens???

19 september 2019, 12:59

Mijn voorkeur gaat uit naar Safe in Cloud en Enpass. Voor beiden hoef je daar niet persé een browser-plugin te gebruiken, kan wel. Bovendien staat van beiden niet je data op andermans server. Je kunt het wel op je eigen server zetten(NAS) of via de je eigen Cloud synchroniseren met al je apparaten. Op de PC zijn beide apps gratis en voor smartphone en tablets éémalige kosten, die absoluut de moeite waard zijn. Beiden werken prima, worden regelmatig onderhouden en mijn persoonlijke voorkeur is Safe in Cloud wegens optimale gebruikersvriendelijkheid. In beide programma’s kun je alles volledig aanpassen en wijzigen naar eigen wens en indeling. (alle velden). Enpass heeft als extra dat je meteen kunt controleren of je bestaande of nieuw gekozen password nergens gehackt is (geweest). Bitwarden vond ik zeker niet slecht maar je gegevens staan wel op andermans server en dat wil ik liever niet.

19 september 2019, 11:38

Gebruik al jaren betaalde versie van Keeper

19 september 2019, 10:47

Al jaren betalende gebruiker van Roboform. Dat schijnt bijna niemand te kennen. Werkt makkelijk op pc en telefoon.

19 september 2019, 1:08

Dit bevestigt mijn voorkeur voor een open source password manager. Ik heb nog niet besloten of ik Keepass of Bitwarden wil.

18 september 2019, 23:45

Ik gebruik Lastpass (free version) al een tijdje en werkt vlekkeloos. Lastpass vind ik gebruiksvriendelijk dan 1password die ik ook gebruik.
Ergens vind ik het een beetje raar om nog een wachtwoord te gebruiken. En daarnaast 2 of multifactor authenticatie een must moeten zijn ipv optioneel. Een vingerafdrukscanner zou al veel beter zijn, dsmat is op mobiel toch ook gemeengoed?

18 september 2019, 23:42

Kaspersky Password Manager , zit in Kaspersky Total Security.

18 september 2019, 23:40

Kaspersky Password Manager

18 september 2019, 23:30

Lang leve Enpass!